עדכון OpenSSL 1.1.1j, wolfSSL 4.7.0 ו-LibreSSL 3.2.4

גרסת תיקון של ספריית הקריפטוגרפיה OpenSSL 1.1.1j זמינה כעת, ותוקנת שתי פגיעויות:

• CVE-2021-23841 - הסרת הפניה של מצביע NULL בפונקציה X509_issuer_and_serial_hash() עלולה לגרום לקריסה של יישומים הקוראים לפונקציה זו כדי לעבד אישורי X509 עם ערך שגוי בשדה המנפיק.
• CVE-2021-23840 - גלישה של מספר שלם בפונקציות EVP_CipherUpdate, EVP_EncryptUpdate ו-EVP_DecryptUpdate עלולה לגרום לערך מוחזר של 1, המציין הצלחה, ולערך שלילי עבור הגודל, מה שעלול לגרום ליישומים לקרוס או להתנהג בצורה לא תקינה אחרת.
• CVE-2021-23839 - פגם ביישום הגנת גיבוי לשימוש בפרוטוקול SSLv2. משפיע רק על ענף 1.0.2 הישן יותר.

LibreSSL 3.2.4 שוחררה גם היא, והיא מייצגת את המזלג של OpenSSL בפרויקט OpenBSD, שמטרתו לספק רמת אבטחה גבוהה יותר. מהדורה זו בולטת בחזרתה לקוד אימות האישורים הישן ששימש ב-LibreSSL 3.1.x, עקב יישומים מסוימים שהסתמכו על קישורים כדי לעקוף באגים בקוד הישן. בין התכונות החדשות, בולטת תוספת של מימושים של TLSv1.3 של רכיבי היצואן והשרשרת האוטומטית.

בנוסף, יצאה גרסה חדשה של ספריית הקריפטוגרפיה הקומפקטית wolfSSL 4.7.0. היא מותאמת לשימוש במכשירים משובצים עם משאבי מעבד וזיכרון מוגבלים, כגון מכשירי IoT, מערכות בית חכם, מערכות מידע ברכב, נתבים וטלפונים ניידים. הקוד נכתב בשפת C ומופץ תחת רישיון GPLv2.

הגרסה החדשה מיישמת תמיכה ב-RFC 5705 (יצואני חומרי מפתח עבור TLS) וב-S/MIME (הרחבות דואר אינטרנט מאובטחות/רב-תכליתיות). הדגל "--enable-reproducible-build" נוסף כדי להבטיח בניות חוזרות. ממשקי ה-API של SSL_get_verify_mode, X509_VERIFY_PARAM ו-X509_STORE_CTX נוספו לשכבת התאימות של OpenSSL. המאקרו WOLFSSL_PSK_IDENTITY_ALERT יושם. הפונקציה החדשה _CTX_NoTicketTLSv12 נוספה כדי להשבית כרטיסי הפעלה של TLS 1.2 אך לשמר אותם עבור TLS 1.3.

מקור: OpenNet.ru